高瀚昭抓了15年病毒,有点没意思了。他觉得自己走进了死胡同,为什么基于黑名单的方式永远跟不上威胁的变化;为什么基于白名单的方式总是有太多误报。
当大数据遇到安全▼
高瀚昭,瀚思(HanSight)创始人,兼首席执行官。此前,其曾是天云趋势的第一位员工,并随后担任首席执行官,而在此之前,高瀚昭在趋势科技就职12年,身居菲律宾,从事反病毒引擎的核心研发工作,重点完成电脑病毒自动分析系统的多个版本,包括沙盒分析、虚拟化、大数据等多种前沿技术。
瀚思(HanSight)创始人兼首席执行官高瀚昭:未来基于大数据的安全产品产生的价值,将是传统安全产品的10倍。
2014年,高瀚昭和他的几位小伙伴联合创建了瀚思(HanSight)公司,核心创业团队都来自趋势科技、微软、甲骨文等公司,核心研发团队拥有5年以上的Hadoop/Spark经验,曾开发过与FireEye直接竞争的产品,并在美国权威评测中胜出。
对于这家公司,这样的公司班底,高瀚昭自然不希望依然延续传统的安全攻防思路:“100年前,北京还有城墙,城门前也还有卫兵,这就是传统的安全思路,但现在企业网络已经没有边界,而且近期发生的几起安全事件,受害企业也100%地安装了杀毒软件。”高瀚昭说:“因此,未来数据将驱动安全,瀚思是家跨界公司,既是安全公司,又是大数据公司,用户的所有数据都是和安全相关的。”
什么是大数据驱动安全?实际上,Gartner已经预测:到2014年,已有8%的大型企业采用了至少一种大数据安全解决方案,到2016年,这一数字将提升到25%,而且在使用6个月内,企业将看到积极的效果。
最近几年,我们不难看出整个IT行业都面临着同一个难题:企业安全架构日趋复杂,各种类型的安全设备、安全数据越来越多,传统的分析能力明显力不从心;另一方面,以APT为代表的新型威胁的兴起,内控与合规的深入,越来越需要储存与分析更多的安全信息,并且以更加快速的做出判定和响应。
因此必须通过机器学习的方法自动侦测异常行为,通过大数据技术提高处理性能、扩展性、灵活性,使企业用户能够减少增加数据源、规则和事件响应的费用,让IT部门用最少的人员完成最多的事情。高瀚昭说:“信息安全问题已经逐步演变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘,并预测未来将出现安全分析平台。”
如何进行大数据安全分析?▼
基于前面所述问题,实际上,进行大数据安全分析也是多数企业公认有效的手段。那么为何,在以前,没有大规模的进行这项工作呢?究其主要原因则是由于单机数据库的手段无法支撑庞大量级数据的采集和分析。在调查中发现,一家千人规模的企业内部数据量就在每天几百GB,大型企业更是每天几TB到几十TB,不应用大数据技术是不可能做到全量采集和长周期分析的。
除此之外,采集部分的难点还在于数据源的多样性,这就意味着我们不仅要把数据收回来还要保证看得懂。另外如何高性能的让数据即收即可用也是很大的挑战。在分析上,如何高性能的准确找到可疑事件,也成为很多做大数据分析的公司所要解决的问题。
高瀚昭表示,瀚思将数据源分为四大类:网络数据、主机数据、登录认证数据和威胁情报数据。就传统的安全分析系统来说,可以分析到的仅仅是安全设备所产生的数据,并没有办法涵盖以上所有,而瀚思在做的就是将这些用户环境中的所有行为足迹统一进行分析,给用户一个最直观分析结果。
据悉,瀚思把大数据安全分析分为采集、存储、分析、展现四个步骤。此外除了存储针对不同的数据规模和性能要求采用多种成熟的大数据存储系统外,采集、分析和展现模块都是自主开发并正在申请国内外专利。最后,高瀚昭表示,“未来基于大数据的安全产品产生的价值,将是传统安全产品的10倍。”